Informationen zwischen Unternehmen und Kreditinstituten werden elektronisch ausgetauscht. Damit der Empfänger weiß, was der Sender übermittelt hat, werden Standards spezifiziert. Einer dieser Standards, EBICS („Electronic Banking Internet Communication Standard“) beschreibt den webbasierten Datenaustausch zwischen Banken und Geschäftskunden. Diese Erweiterung des DFÜ-Standards integriert den Versand von Nachrichten über das Internet – unter Berücksichtigung der aktuellen Sicherheitsanforderungen.
Inhalt
DFÜ der Giganten
Unternehmen und Banken sind nicht nur auf verlässliche und schnelle Verbindungen angewiesen, sondern vor allem auch auf die Sicherheit der Nachrichten. Sensible Kundendaten werden übermittelt, die besonders geschützt und syntaktisch und semantisch korrekt den Empfänger erreichen müssen. Das DFÜ-Abkommen (Abkommen über die Datenfernübertragung zwischen Kunden und Kreditinstituten“) beschreibt diese Verfahren zur Kommunikation. Die technischen Umsetzungen dieser Übertragungsarten sind in Anlagen des DFÜ-Abkommens festgehalten. In Anlage 1 wird die EBICS-Anbindung spezifiziert, Anlage 2 enthält die Beschreibung der nicht internetfähigen FTAM-Anbindung, die allerdings seit 31.12.2010 nicht mehr unterstützt wird und in Anlage 3 findet sich die Spezifikation der Datenformate. Mit dem Ende des FTAM-Standards sind die Banken bereits seit Ende 2010 nicht mehr zum Anbieten des Protokolls verpflichtet. EBICS, mit seinem weit größeren Leistungsspektrum, soll bald auch innerhalb Europas eingeführt werden. Zu diesem Zweck wurde in 2010 die deutsch-französische EBICS-Gesellschaft gegründet.
Die EBICS-Spezifikation
Die beiden Anhänge zu EBICS beschreiben in Anhang 1 die Rückgabe-Codes sowie in Anhang 2 die optionalen Auftragsarten. Bei jedem „Paket“, das zwischen Sender und Empfänger ausgetauscht wird, muss erkennbar sein, um was es sich handelt (Auftragsart) und ob der Empfänger die Daten korrekt erhalten hat (Rückgabe-Code). Die Auftragsart beschreibt dabei den Feldaufbau des Pakets: Welche Daten (zum Beispiel Kontonummer) steht in welchem Feld des Containers? Die Return-Codes geben den Status des übermittelten Datenblockes wider: Wurde die Nachricht korrekt empfangen? Sind alle Daten – gemäß der angegebenen Auftragsart – übertragen worden? Gab es einen Verbindungsabbruch? Sender und Empfänger tauschen also nicht nur den Inhalt des Paketes aus (zum Beispiel die Daten einer Zahlungsanweisung), sondern auch den Status, den das Paket nach seinem Eingang beim Empfänger erhalten hat.
EBICS – flexibler Austausch über das Internet
EBICS ist nicht nur ein offener Standard. Das Offenlegen seiner Spezifikation ermöglicht es Unternehmen, nicht nur mit erworbenen Standard-Produkten, sondern auch mit selbst entwickelter Software-Produkten ihre Daten im EBICS-Format zu versenden und zu empfangen. EBICS ist dabei hoch kompatibel, denn bei seiner Spezifikation wurde auf bereits international verwendete Standards zurückgegriffen: So sind neben HTTPS auch XML, TLS und ZIP integriert. EBICS steht auf dem höchsten, derzeit realisierbaren Sicherheitsniveau, das durch eine Mehrfachverschlüsselung der übertragenen Daten erreicht wird. Durch die Definition von Auftragsarten werden alle Geschäftsprozesse sicher über einen einzigen Kommunikationskanal übertragen. Alleine die spezifizierte Auftragsart bestimmt den Inhalt des übertragenen XML-Containers. Aber auch das Einbeziehen von weiteren Dienstleistern innerhalb der Übertragung sieht EBICS vor und erschließt diese Möglichkeit durch den Einsatz eines mehrstufigen Unterschriftskonzeptes. Die Freigabe der übermittelten Aufträge kann zudem standortunabhängig erfolgen und auch ein Wechsel der Bank wird ohne besonderen Umstellungsaufwand möglich. Ein weiterer entscheidender Vorteil des EBICS-Verfahrens ist seine breit gestreute Nutzbarkeit: EBICS kann auch von Privatkunden vom heimischen PC aus verwendet werden. Entscheidende Nachteile weist das EBICS-Verfahren für den Datenverkehr jedoch nicht auf: Höchste Sicherheitsstandards sind hier mit offenen Protokollen und Spezifikationen kombiniert, die eine einfache und flexible Anwendung für Kunden und Banken gewährleisten. Anzumerken bleibt, dass es bei einer elektronischen Übertragung keine 100-prozentige Sicherheit geben kann. Etwas hinderlich in seiner Verbreitung ist sicher auch die vertragliche Vereinbarung, die vor einer Teilnahme an EBICS meist zu unterzeichnen ist. Einige Kreditinstitute berechnen ihren Kunden zusätzliche Gebühren und Kosten für die Teilnahme und Zulassung am EBICS-Verfahren.
EBICS und SEPA – die Standards der Zukunft
Die mit EBICS übertragenen XML-Container werden mit TLS verschlüsselt und über HTTP versandt, wobei jeder Datenblock der Übertragung mit einer elektronischen Signatur versehen wird. Bei fehlerhafter Übertragung, die durch den Return-Code identifiziert wird, erfolgt eine Wiederholung bzw. ein Wiederaufsetzen des Containerversands. Die Berechtigungskonzepte von EBICS sind als elektronische Einzelunterschrift, als geteilte sowie als verteilte elektronische Unterschrift implementiert. EBICS wird – zusammen mit SEPA – das zukünftige „State-of-the-Art“-Verfahren zum Datenaustausch zwischen Kunden, ob privat oder gewerblich, und den Kreditinstituten darstellen. Der SEPA-Standard („Single Euro Payments Area“) wickelt den Zahlungsverkehr im Euro-Zahlungsverkehrsraum ab. Mit SEPA werden Zahlungen über Ländergrenzen hinweg ausgetauscht und verarbeitet, ohne dass ein Unterschied zu einer nationalen Nachricht erkennbar wird. Das Pendant zu SEPA, der international verwendete SWIFT-Standard, ist jedoch von den europäischen Neuentwicklungen nicht betroffen und wird auch weiterhin zur Abwicklung des internationalen Zahlungsverkehrs verwendet.
DFÜ-Standards für eine zeitgemäße und sichere Kommunikation
Bereits seit 1995 können deutsche Firmenkunden den Zahlungsverkehr mit spezifizierten Standards und elektronischer Signatur abwickeln. Die sichere Kommunikation, die mit jedem deutschen Kreditinstitut möglich ist, wird auch auf europäischer und internationaler Ebene zunehmend ausgebaut. Das in 2003 eingeführte EBICS-Verfahren schließt das Internet als weitere sichere Möglichkeit zur Datenübertragung zwischen Kreditinstitut und Unternehmen ein. Sicherungsmechanismen wie HTTPS sowie eine Authentifizierung machen den EBICS-Standard auch für die hochsensiblen Bankdaten nutzbar.